Приказ ФСТЭК № 117: как выполнить новые требования к защите ГИС

Развитие технологий и искусственного интеллекта, популярность удаленного формата работы и эволюция киберугроз потребовали пересмотра мер защиты государственных информационных систем (ГИС). С 1 марта 2026 года вступит в силу приказ ФСТЭК России № 117. Он полностью заменит приказ регулятора № 17, принятый еще в 2013 году. Архитектор департамента обеспечения соответствия требованиям в области ИБ ГК Softline Александр Метальников рассказал об основных изменениях и о том, какие меры необходимо предпринять государственным организациям уже в 2025 году.

О чем и для кого приказ ФСТЭК № 117

Главная задача требований — обеспечить безопасность данных в ГИС и других ИС. Новый приказ регулятора нацелен на построение эффективной системы защиты информации. Организация обязана не просто выполнить предписания, а адаптировать меры защиты так, чтобы нейтрализовать возможные негативные последствия.

Какие организации должны соблюдать новые стандарты?

Регулятор расширил перечень организаций, которые обязаны выполнять обновленные требования по защите информации. Теперь к ним относятся:

• Государственные органы: региональные правительства, суды, министерства и любые другие органы государственной власти.
• Государственные унитарные предприятия: управляющие компании, водоканалы, теплосети, метрополитен, организации общественного транспорта.
• Государственные учреждения — автономные, казенные, бюджетные: заведения культуры, здравоохранения, образовательные учреждения, фармацевтические компании.

На какие системы распространяется действие приказа?

В отличие от приказа № 17, который регулировал только защиту ГИС, приказ № 117 распространяет свои требования на все информационные системы государственных органов и учреждений, а также на муниципальные ИС. Помимо этого, он затрагивает и подрядные организации, которые взаимодействуют с такими системами, например, разрабатывают для них ПО или оказывают ИТ-услуги.

Ключевые направления изменений

• Процессный подход

Приказ закрепляет процессный подход к защите информации. В чем он заключается? Процесс защиты — это замкнутый цикл, который повторяется на протяжении всего времени существования информационной системы. Вот как он выглядит на практике.

1. Разработка и планирование мероприятий и мер по защите информации
   
   

   Организации необходимо понять, что защищать, от чего и какими именно средствами. На этом этапе проводится аудит для выявления всех информационных систем и актуальных для них угроз.

   Приказ № 117 закрепляет обязательную оценку возможных негативных последствий от реализации угроз. Это означает, что необходимо адаптировать меры защиты под возможные негативные последствия для конкретной организации.

   Важно понимать, что для разных организаций и информационных систем, пусть даже они будут одного и того же класса защищенности, негативные последствия могут отличаться.

2. Проведение мероприятий и принятие мер по защите информации
   
   Спроектированная система защиты внедряется на практике: устанавливаются и настраиваются технические средства, разрабатываются и вводятся в действие организационные документы (регламенты, стандарты), проводится обучение сотрудников.
   
   
3. Оценка состояния защиты информации
   
   После внедрения необходимо оценить эффективность принятых мер. Помимо предусмотренных регулятором форм, организация может проводить и другие проверки, например, тестирование на проникновение, особенно для критически важных систем.
   
4. Совершенствование мероприятий и мер по защите информации
   
   На этапе оценки процесс не заканчивается. Если какие-то меры оказались неэффективны или в системе произошли изменения, процесс возвращается к первому этапу — планированию новых или компенсирующих мероприятий.
   

• Порядок оценки состояния защиты информации

Аттестаты соответствия ГИС, выданные по приказу № 17, продолжают действовать. Однако это не освобождает организации от обязанности привести систему защиты в соответствие с новыми требованиями. На доработку системы защиты информации отводится около 6 — 12 месяцев.

При этом приказ ФСТЭК № 117 вносит изменения в существующую систему оценки соответствия. Теперь помимо аттестации она включает новые процедуры для всех ИС.

• Показатель защищенности (КЗИ) — определяет текущее состояние защиты от базовых угроз. Расчет необходимо проводить не реже одного раза в полгода.

Оценка показателя проводится в соответствии с документом «Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» от 11.11.2025.

• Показатель уровня зрелости (ПЗИ) — определяет достаточность и эффективность мероприятий по защите. Расчет выполвается не реже одного раза в два года.

На момент написания статьи регулятор не опубликовал методику оценки ПЗИ. ФСТЭК анонсировал ее выпуск до конца 2025 года.

• Детализация документации

Одним из ключевых преимуществ приказа ФСТЭК № 117 является детальная и четкая регламентация пакета документов. До этого разные интеграторы предлагали совершенно разные комплекты ОРД. Из-за этого заказчики не понимали, какой из вариантов является достаточным и правильным.

Теперь приказ вводит три основных группы документов.

Политика защиты информации — основополагающий документ, который определяет общие подходы, цели и принципы защиты информации во всей организации. Он устанавливает, какие информационные системы, данные и активы подлежат защите. В документе также прописываются возможные негативные последствия и общий перечень мер защиты.

Стандарты по защите информации — устанавливают конкретные требования к реализации мер защиты.

Регламенты по защите информации — документы, которые описывают порядок и последовательность действий.

Таким образом, появляется единый перечень ожидаемых результатов. Заказчик может контролировать, все ли необходимые документы предоставил интегратор, и понимать, насколько они соответствуют заявленной структуре.

• Расширение технических мер безопасности

Новый приказ регулятора расширяет перечень технических мер защиты. Если ранее было 13 групп мер, то теперь их стало 17. Это актуальные меры защиты, которые либо не учитывались в предыдущем приказе, либо упоминались неявно. К ним относятся:

• защита веб-технологий;
• защита мобильных устройств;
• защита технологий интернета вещей;
• защита облачных вычислений.

Организациям, которые ранее уже выстроили защиту согласно старым требованиям, скорее всего, придется применять дополнительные меры для приведения своих систем в соответствие с новым документом. На данный момент в самом приказе № 117 нет детализации мер защиты. ФСТЭК обещает выпустить методические рекомендации по этому вопросу до конца 2025 года. От этого документа будет зависеть итоговая сложность и стоимость выполнения требований.

• Контроль подрядчиков

Приказ уделяет особое внимание рискам, связанным с привлечением сторонних исполнителей. Это следствие того, что многие громкие инциденты информационной безопасности происходят через уязвимости в системах подрядчиков c доступом к информационным ресурсам заказчика.

Новые требования распространяются на:

• Организации, которые получают информацию из ГИС, например, банки.
• Разработчиков программного обеспечения, если компания работает с госорганами.
• Сервисные компании, которые занимаются поддержкой и защитой ИС в госсекторе.

Соответственно, государственным органам и учреждениям, которые выступают в роли заказчика, необходимо:

• Разработать регламенты предоставления доступа к ИС для подрядных организаций.
• Включить в технические задания на создание ПО требования по безопасной разработке в соответствии ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
• Контролировать выполнение мер контрагентами в области ИБ .

Что необходимо сделать для выполнения новых требований ФСТЭК

Уже в ближайшие месяцы следует начать подготовку, чтобы сформировать фундамент для работы в следующем году. Итак, план мероприятий:

Если у вас возникли вопросы по новым требованиям ФСТЭК и нужна помощь в организации системы защиты, свяжитесь с экспертами Softline — y.smolina@softline.com.

Зaщита данных и информации в блоге Softline:

• Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты
• Зaщита персональных данных: требования законодательства и способы защиты от утечек
• Критическая информационная инфраструктура: все, что нужно знать о КИИ
• Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025
• Приказ ФСТЭК № 117: как выполнить новые требования к защите ГИС
• Платформизация, безопасность ИИ и активная защита малого бизнеса — «Лаборатория Касперского» об ИБ-рынке
• ИБ-консалтинг для финансовых организаций: защита активов, клиентов и репутации
• ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак
• Киберучения: готовим сотрудников к успешным отражениям атак
• Как эффективно защитить инфраструктуру компании от DDoS-атак?
• DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться
• Защита от DDoS‑атак: специфика подходов reverse proxy и перехвата трафика без смены A‑записей DNS